Høringssvar fra Arne Christian Blystad

Beseiret på fem minutter

Dato: 03.01.2017

Svartype: Med merknad

Problemet med DGF er at det kan enkelt fullstendig beseires på fem minutter. Alt man trenger er et VPN - Virtual Private Network.

VPN er ikke nevnt med ett eneste ord i rapporten, ei heller er "proxy", TOR, SSH-forwarding, eller lignende løsninger. Den vanlige mannen i gata kan laste ned gratis, eller kjøpe seg tilgang, til å vidresende all datatrafikk til andre land.

Metadata innsamling vil være nytteløst, mens en vanlig tilkobling fungerer slik:

127.0.0.1:80 -> 84.208.42.24:80 (google.com)
127.0.0.1:80 -> 31.13.84.36:80 (facebook.com)

Så vil VPN fungere slik:

127.0.0.1:5000 -> 10.10.10.10:5000 (annet land) -> 84.208.42.24:80
127.0.0.1:5000 -> 10.10.10.10:5000 (annet land) -> 31.13.84.36:80

(og man kan gjøre enda flere "hopp" for å gjøre det enda mer vanskelig å finne "end node").

Dette forslaget vil ramme den vanlige mannen i gata, mer enn de som er teknisk kompetente nok til å komme seg rundt forslaget. Det finnes også såpass mange legitime grunner til å bruke VPN, TOR, SSH-proxy o.l. at å bannlyse disse ikke vil fungere.

Mitt neste problem med forslaget, er at selv om rapporten gjør sitt beste for å beskytte mot misbruk, så vil enkle lovendringer eller feil i softwaren gjøre det enkelt å utvide overvåkningen til alle innbyggere i Norge.

Det er flere historier i både inn- og utland om sensitiv informasjon som lekker ut. Som oftest er det kun fra en enhet, men hvis informasjon lekker ut fra dette systemet så kan det være sensitiv informasjon på tvers av flere enheter. Innbyggerene betaler den største kostnaden når dette skjer ( eks. http://www.digi.no/artikler/fire-kommuner-la-ut-persondata-pa-nett-na-kommer-straffen/349109 ). Rapporten fremhever et eksempel hvor det kobles mellom Kirkens SOS, fastlegen og forsikringsselskapet. Men det finnes flere tilfeller som kan være langt mer alvorlig, f.eks. om innholdet i disse samtalene også lekket ut, eller en arbeidsgiver får vite om personlige problemer, eller personlig informasjon brukes for ID-tyveri. Mulighetene for misbruk er massive.

Siden det er enkelt å komme seg rundt forslaget, samt at det vil ramme de som er mindre teknisk kompetente, så er jeg i mot dette forslaget.

Hvis forslaget mot formodning skulle introduseres så bør lagringstiden reduseres, og det bør stilles strenge krav til lagringen av informasjon. Hvis informasjon lekkes ut så må dette resultere i strenge fengselsstraffer for de som lekker ut informasjonen, eventuelt de som gjorde det mulig å lekke informasjonen. Systemet må bygges på en så sikker måte som overhode mulig, og komponentene i systemet må sikres slik at personlig informasjon fra Norge ikke kan lekke til andre statsmakter.